Макровирустар – вирустар. Компьютердегі макровирустар дегеніміз не? Microsoft Excel бағдарламасына арналған вирустар

Өз жұмысында макротілдер деп аталатын өздерінің программалау тілін қолданатын бағдарламалар бар. Мұндай макротілдер әдетте мәтіндік және электрондық кестелік редакторларға салынған. Мысалы, Microsoft Word және Excel бағдарламаларында өздерінің макро тілдері бар. Макро тілдерді жазып, өз мақсаттарында қолданатын вирустар макровирустар деп аталады. Басқаша айтқанда, макровирустар макро программалау тілдерінде жазылған вирустар.

Макростар дегеніміз не?

Макростар немесе макрокомандалар пайдаланушы жазған командалар. Макрос шақырылғанда, оларда кірістірілген процесс орындалады. Бейбітшілік майданында мұндай макростар ұзақ, жалықтыратын, күнделікті жұмысты жеңілдетудің жақсы тәсілі болуы мүмкін. Сізге тек сәйкес алгоритмді жазу жеткілікті және машина бәрін өзі жасайды. Мысалы, Word және Excel бағдарламаларында файлды ашуға, сақтауға және т.б. арналған макростар бар. Мұндай макростар пайдаланушы жұмысының жылдамдығын айтарлықтай арттыра алады.

Макровирустар қалай жұмыс істейді

Жеке файлдың макросын өңдеу, егер сізде тиісті білім болса, қиын емес сияқты, макровирус жасауда үлкен проблемалар болмауы керек. Осыдан кейін жұқтырған құжат қандай да бір жолмен жәбірленушіге жеткізіледі. Құжатты ашу және вирус жұққан макросты іске қосу (яғни, алдын ала анықталған белгілі бір әрекетті орындау) арқылы пайдаланушы зиянды кодты белсендіреді. Көптеген макровирустар жасайтын бірінші нәрсе - құжаттың негізгі үлгісінің макростарын қайта жазуға тырысады, мысалы, сәйкес форматтағы кез келген файлды ашу үшін қолданылатын Word файлының негізгі үлгісі. Бұл кез келген құжатты ашқан кезде онымен бірге вирустың жүктелуін қамтамасыз етеді. Бұл туралы мақалада айтқанымдай, әрбір вирус ең алдымен оның кең таралуын қамтамасыз етуге тырысады. Сонымен, бұл технология мәселесі: зиянды кодты барлық жаңадан ашылған құжаттарға көшіру. Біз құжаттарды жиі алмастыратындықтан, вирус өте жақсы көбейеді.

Макровирустардың зияны

Макровирустардың жұмыс аймағы құжаттар болып табылады. Негізінде олар сіздің құжаттарыңызбен қалағанын жасай алады. Бірақ бұдан басқа, макровирустар компьютердің өзіне де зиян келтіруі мүмкін, яғни ерекше қалаумен макровирустар компьютердің өзін басқаруға қол жеткізе алады. Сондықтан макровирустарды тек құжаттардың зиянкестері ретінде қарастырудың қажеті жоқ.

Тарихтағы алғашқы макровирус

Ең бірінші құжатталған макровирус 1995 жылы шыққан Concept вирусы болды. Ол ерекше қорқынышты ештеңе істемеді. Бұл ешқандай зиян келтірмеді, бірақ Концепт вирусы цифрлық әлемге файлдарда зиянды код болуы мүмкін екенін көрсетті.

Әрине, олардың әрқайсысын «көру арқылы» есте сақтау мүмкін емес және қажет емес міндет. Дегенмен, олардың кейбіреулері қауіпті және кең таралғандықтан әлі де көбірек білуге ​​тұрарлық. Бұл материалда біз макровирустардың не екенін талдаймыз. Сондай-ақ олардың қаупін барабар бағалау неге маңызды.

Макровирустар бұл...

Зиянды элемент атауының бірінші жартысы «макро» сөзінен шыққан. Бұл VBA тілінде жазылған MS Word немесе Excel құжатының біріктірілген құрамдас бөлігі. Макростың мүмкіндіктері өте кең: ол қатты дискіні пішімдей алады, файлдарды жоя алады, компьютерде сақталған ақпараттан құпия деректерді көшіреді және оны электрондық пошта арқылы жібере алады. Демек, мұндай элементті жеңудің үлкен қаупі бар.

Макровирус - бұл бірқатар өңдеу жүйелеріне, мәтіндік бағдарламалар мен редакторларға, электрондық кестелік бағдарламалық қамтамасыз етуге және т.б. біріктіру үшін макро тілінде жазылған бағдарлама. Зиянды элементтердің таралуы макротілдердің мүмкіндіктерінің арқасында жүреді. Сондықтан олар құжаттан құжатқа, бір компьютерден екінші компьютерге оңай тасымалданады. Макровирустар қандай файлдарды жиі зақымдайды? Бұл негізінен Word және Excel құжаттары.

Бөлу қалай жүреді?

Компьютерді жұқтыру өте қарапайым. Сізге тек компьютерде макровирус жұқтырған файлды ашу немесе жабу жеткілікті. Зиянды элементтер стандартты элементтерді ұстап алады, содан кейін құрылғыңызда кіретін барлық ұқсас файлдарды жұқтыра бастайды.

Макровирустар да тұрақты зиянды элементтер болып табылады. Яғни, олар құжатты ашу/жабу сәтінде ғана емес, мәтіндік, графикалық немесе электрондық кестелік бағдарламаның бүкіл жұмысында белсенді! Олардың кейбіреулері компьютердің жедел жадында ол өшірілгенге дейін қала алады.

Сондай-ақ, оларды жасау өте оңай екенін атап өткен жөн: шабуылдаушы Word бағдарламасын ашып, «Қызмет» бөліміне өтіп, содан кейін «Макростар» бөліміне өтуі керек. Содан кейін ол VBA-да зиянды бағдарламаны жаза алатын Visual Basic редакторын таңдайды.

Вирус қалай жұмыс істейді

Белгілі бір пәрменді орындау кезінде Word сәйкес макростарды іздейді және орындайды:

  • Құжатты сақтау - FileSave.
  • Басып шығару - FilePrint.
  • Мәтіндік файлды ашу - Автоматты ашу.
  • Құжатты жабу – Автожабу.
  • Бағдарламаның өзін іске қосу - AutoExec.
  • Жаңа файлды құру – AutoNew және т.б.

Ұқсас, бірақ атаулары әртүрлі макростар Excel бағдарламасында да қолданылады.

Word файлын жұқтыру үшін зиянды бағдарлама мына әдістердің бірін пайдаланады:

  • Макровируста автомакро бар.
  • Жүйенің жеңілуі вирусты әзірлеушіге арналған тапсырманы аяқтау үшін қойылған кезде басталады.
  • Стандартты макростардың бірі қайта анықталуда. Әдетте соңғысы Word мәзірінің қандай да бір элементімен байланысты.
  • Белгілі бір пернені немесе пернелер тіркесімін басу арқылы сіз білмей, зиянды автомакроны іске қосасыз. Ал ол қазірдің өзінде «жұмысын» бастады.

Макровирустар файлдарды келесі жолмен жұқтырады:

  1. Сіз зардап шеккен мәтіндік құжатты ашасыз.
  2. Вирус коды жаһандық құжат макростарына көшіріледі.
  3. Соңғысы әлдеқашан вирус жұққан, файл жабылған кезде нүктелік құжатқа (Normal.dot деп аталатын үлгі) автоматты түрде жазылады.
  4. Содан кейін стандартты макростарды жою вирусқа байланысты. Бұл оған электронды құжаттармен жұмыс істеу командаларын ұстауға көмектеседі.
  5. Бұл макростарды сіз шақырған кезде, сіз жұмыс істеп жатқан файл вирус жұқтырады.

Енді сіздің компьютеріңізде осы зиянды элементтердің бар-жоғын қалай анықтау керектігін шешейік.

Макровирустарды анықтау

Мәтіндер мен кестелердегі файлдық вирустарды келесідей анықтауға болады:

  • «Басқаша сақтау...» арқылы құжатты басқа дискіге немесе каталогқа жаза алмаймын.
  • Файлды басқа форматта сақтау мүмкін емес («Басқаша сақтау...» командасы арқылы тексеріледі).
  • Сіз енгізген өзгертулерді файлға сақтау мүмкін емес.
  • Қауіпсіздік деңгейі қойындысы қолжетімсіз болады. Сіз оны келесі жолдан таба аласыз: «Қызмет» - «Макро» - «Қауіпсіздік».
  • Құжатпен жұмыс істеу кезінде қатені көрсететін жүйелік хабарлама пайда болуы мүмкін.
  • Файл басқаша «әрекет етеді».
  • Егер күдікті құжаттың мәтінмәндік мәзірін тінтуірдің оң жақ түймешігімен нұқып, «Сипаттар» түймесін бассаңыз, «Қорытынды» қойындысының бөлімдерінде зиянды бағдарлама әзірлеушісі кездейсоқ ақпаратты немесе жай ғана таңбалар жинағын көрсетеді.

Ақаулық себебін іздеу және түзету

Кез келген апаттың алдын алудың ең оңай жолы, әрине. Бұл жағдайда сіздің компьютеріңізде үнемі жаңартылып отыратын қауіп деректер базасы бар заманауи антивирус болуы керек. Мұндай бағдарламалардың көпшілігінде жедел жадқа жүктелген монитор бар. Ол вирус жұққан файлдарды ашуға әрекеттенген бойда анықтайды. Антивирус ең алдымен мұндай құжатты емдеуге тырысады, егер сәтсіз болса (бұл өте сирек кездеседі), ол оған кіруді блоктайды.

Қорғалмаған компьютерде қауіпті тапсаңыз, вирус жұққан файлды анықтайтын, бейтараптандыратын немесе жойатын антивирусты немесе сәйкес қызметтік бағдарламаны жүктеп алуыңыз керек. Өзіңізге де сергек болғаныңыз маңызды: сізге белгісіз дереккөздерден алынған құжаттарды ашпаңыз немесе соңғы шара ретінде ашар алдында оларды зиянды элементтерге сканерлеңіз.

Макровирустар мәтіндік және кестелік файлдар арқылы таралатын қауіп. Бүгінгі күні оны анықтау және жою оңай, бұл осы зиянды бағдарламаның қауіптілігі мен зиянын азайтпайды.

Макровирустар - бұл графикалық және мәтіндік өңдеу жүйелеріне енгізілген микротілде жазылған ықтимал қажетсіз утилиталар. Макровирустар қандай файлдарды зақымдайды? Жауабы анық. Microsoft Excel, Word және Office 97 үшін ең көп таралған нұсқалар. Бұл вирустар өте кең таралған және оларды жасау алмұрттарды жару сияқты оңай. Сондықтан Интернеттен құжаттарды жүктеп алу кезінде өте мұқият және мұқият болу керек. Көптеген пайдаланушылар оларды бағаламайды, осылайша үлкен қателік жібереді.

ДК қалай жұқтырылады?

Макровирустар дегеніміз не екенін шешкеннен кейін олардың жүйеге қалай еніп, компьютерді зақымдайтынын анықтайық. Оларды көбейтудің қарапайым әдісі мүмкіндігінше қысқа мерзімде объектілердің максималды санын ұруға мүмкіндік береді. Макротілдердің мүмкіндіктерінің арқасында вирус жұққан құжатты жабу немесе ашу кезінде олар қол жетімді бағдарламаларға енеді.

Яғни, графикалық редакторды пайдаланған кезде макровирустар онымен байланысты барлық нәрселерді жұқтырады. Сонымен қатар, кейбіреулер мәтіндік немесе графикалық редактор жұмыс істеп тұрғанда, тіпті компьютер толығымен өшірілгенге дейін белсенді болады.

Олардың жұмыс принципі қандай?

Олар келесі принцип бойынша жұмыс істейді: құжаттармен жұмыс істеу кезінде Microsoft Word макро тілде шығарылатын әртүрлі командаларды орындайды. Ең алдымен, бағдарлама негізгі үлгіге енеді, ол арқылы осы форматтағы барлық файлдар ашылады. Бұл жағдайда вирус өзінің кодын негізгі параметрлерге қол жеткізуді қамтамасыз ететін макростарға көшіреді. Бағдарламадан шыққан кезде файл автоматты түрде нүкте түрінде сақталады (жаңа құжаттарды жасау үшін қолданылады). Осыдан кейін ол стандартты макростарға еніп, басқа файлдарға жіберілген пәрмендерді ұстауға тырысып, оларды да жұқтырады.

Инфекция келесі жағдайларда пайда болады:

  1. Вируста автоматты макрос болса (бағдарлама өшірілгенде немесе іске қосылғанда автоматты түрде орындалады).
  2. Вирустың негізгі жүйелік макросы бар (көбінесе мәзір элементтерімен байланысты).
  3. Арнайы пернелерді немесе комбинацияларды басқан кезде автоматты түрде іске қосылады.
  4. Ол тек іске қосылғанда ғана көбейеді.

Мұндай вирустар әдетте макро тілде жасалған және бағдарламалармен байланыстырылған барлық файлдарды зақымдайды.

Олар қандай зиян келтіреді?

Макровирустарды елемеуге болмайды, өйткені олар толыққанды вирустар болып табылады және компьютерлерге айтарлықтай зиян келтіреді. Олар жеке ақпаратты қамтитын кез келген нысандарды оңай жоя алады, көшіреді немесе өңдей алады. Сонымен қатар, олар электрондық пошта арқылы ақпаратты басқа адамдарға тасымалдай алады.

Неғұрлым қуатты утилиталар қатты дискілерді пішімдеп, бүкіл ДК жұмысын басқара алады. Сондықтан компьютерлік вирустардың бұл түрі тек графикалық және мәтіндік редакторларға қауіп төндіреді деген пікір қате. Өйткені, Word және Excel сияқты утилиталар бірқатар басқалармен бірге жұмыс істейді, бұл жағдайда олар да қауіп төндіреді.

Вирус жұққан файлды тану

Көбінесе макровирустармен зақымдалған және олардың әсеріне сезімтал файлдарды анықтау қиын емес. Өйткені, олар бірдей форматтағы басқа утилиталардан мүлдем басқаша жұмыс істейді.

Қауіпті келесі белгілермен анықтауға болады:

Сонымен қатар, қауіп жиі көзбен оңай анықталады. Оларды әзірлеушілер әдетте «Қорытынды» қойындысында қызметтік бағдарламаның атауы, санат, түсініктеме тақырыбы және автордың аты сияқты ақпаратты көрсетеді, соның арқасында макровирустан тезірек және оңай құтылуға болады. Оны контекстік мәзір арқылы шақыруға болады.

Жою әдістері

Күдікті файлды немесе құжатты тапқан кезде алдымен оны антивируспен сканерлеңіз. Егер қауіп анықталса, антивирустар оны емдеуге тырысады, ал егер сәтсіз болса, олар оған кіруді толығымен блоктайды.

Бүкіл компьютер вирус жұққан болса, ең соңғы дерекқоры бар антивирусты қамтитын төтенше жүктеу дискісін пайдалану керек. Ол қатты дискіңізді сканерлейді және ол тапқан барлық қауіптерді бейтараптайды.

Егер сіз өзіңізді осылай қорғай алмасаңыз, антивирус ештеңе жасай алмайды және құтқару дискісі болмаса, «қолмен» емдеу әдісін қолданып көру керек:


Осылайша, сіз вирус жұққан құжаттан макровирусты жоясыз, бірақ бұл оның жүйеде қалмайтынын білдірмейді. Сондықтан бірінші мүмкіндікте бүкіл дербес компьютерді және оның барлық деректерін антивируспен немесе (олардың артықшылығы - орнатуды қажет етпейді) сканерлеу ұсынылады.

Компьютерді макровирустармен инфекциядан емдеу және тазарту процесі өте күрделі, сондықтан бастапқы кезеңде инфекцияның алдын алған дұрыс.


Осылайша, сіз өзіңізді қорғайсыз және макровирустар сәйкес файлдарға ешқашан енбейді.

Компьютерлік вирус – бұл компьютерлік бағдарламаның немесе зиянды кодтың бір түрі, оның айрықша белгісі қайта шығару (өзін-өзі репликациялау) мүмкіндігі болып табылады. Бұған қоса, вирустар пайдаланушыға және/немесе компьютерге зиян келтіретін әрекеттерді қоса, пайдаланушының хабарынсыз басқа ерікті әрекеттерді жасай алады.
Вирустың авторы зиянды әсерлерді бағдарламаламаса да, вирус операциялық жүйемен және басқа бағдарламалармен өзара әрекеттесудегі қателіктер мен ескерілмеген нәзіктіктерге байланысты компьютердің бұзылуына әкелуі мүмкін. Сонымен қатар, вирустар әдетте сақтау құрылғыларында біраз орын алады және кейбір басқа жүйелік ресурстарды алып тастайды. Сондықтан вирустар зиянды бағдарлама ретінде жіктеледі.

Кіріспе
4
1. Макровирустар
6
1.1 Макровирустар туралы жалпы ақпарат
7
8
2. Проблеманы баяндау
10
3. Құжат макростарындағы ең танымал вирустарға шолу
11
3.1 Макровирустардың таралуы
13
3.2 Microsoft Office үшін макровирустардың алгоритмі
14
4. Құжат макростарындағы вирустардан қорғау әдістері
16
4.1 Макровирустарды анықтау
17
4.2 Зақымдалған объектілерді қалпына келтіру
18
5. Макростарда вирустарды құру және оларды құжаттық файлдарға енгізу
19
5.1 Экранда хабарламаны үнемі көрсету
19
5.2 Макровирустан қолданбаны іске қосу
19
5.3 Автобастау және орындау
20
Қорытынды
21
Пайдаланылған әдебиеттер тізімі

Жұмыста 1 файл бар

Бағдарлама процедураларын тікелей орындауға немесе басқа макростардың сұрауы бойынша белсендіруге болады. Олардың синтаксисі келесідей:

Ішкі<Имя_Макроса>
-> макрокод<-
«Пікір апострофтан басталады
Аяқтау қосалқы
Мысал келесі макрос болып табылады:
«Бұл макрос диалогтық терезені ашады және ондағы хабарламаны көрсетеді
Ақылсыз_сәлемдесу
MsgBox «КИІІМДІ ӘЛЕМ»
Аяқтау қосалқы

1.2 Макровирустардың жұмыс істеу принциптері

Құжатпен жұмыс істеу кезінде MS Word 6 және 7 нұсқалары әртүрлі әрекеттерді орындайды: құжатты ашу, сақтау, басып шығару, жабу және т.б. Сонымен бірге Word бағдарламасы сәйкес кірістірілген макростарды іздейді және орындайды: файлды сақтау кезінде File/Save пәрмені, FileSave макросы шақырылады, сақтау кезінде File/SaveAs - FileSaveAs, құжаттарды басып шығару кезінде - FilePrint және т.б., егер, әрине, мұндай макростар анықталған болса.

Сондай-ақ әртүрлі жағдайларда автоматты түрде шақырылатын бірнеше «автоматты макростар» бар. Мысалы, құжатты ашқанда, Word бағдарламасы Автоматты ашу макросының бар-жоғын тексереді. Егер мұндай макрос болса, Word оны орындайды. Құжатты жабу кезінде Word бағдарламасы Автоматты жабу макросын орындайды, Word бағдарламасын іске қосқанда AutoExec макросы шақырылады, өшірілгенде - Автошығу, ал жаңа құжат жасағанда - Автожаңа. Ұқсас механизмдер, бірақ макрос және функция атаулары әртүрлі, Excel/Office 97 бағдарламасында қолданылады.

Word, Excel немесе Office 97 файлдарын жұқтыратын макровирустар әдетте жоғарыда аталған үш әдістің бірін пайдаланады:

  1. вирустың құрамында автомакро (автофункция);
  2. вирус стандартты жүйе макростарының бірін (мәзір элементімен байланыстырылған) қайта анықтайды;
  3. Кез келген пернені немесе пернелер тіркесімін басқан кезде вирус макросы автоматты түрде шақырылады.

Сондай-ақ аталған әдістерді пайдаланбайтын және қолданушы оларды орындау үшін өз бетінше іске қосқан жағдайда ғана көбейтетін жартылай вирустар бар.

Көптеген макровирустар өздерінің барлық функцияларын стандартты MS Word/Excel/Office 97 макростары түрінде қамтиды, алайда, өздерінің кодтарын жасыру және өз кодтарын макрос емес түрінде сақтау әдістерін қолданатын вирустар бар. Мұндай үш әдіс белгілі. Олардың барлығы макростардың басқа макростарды жасау, өңдеу және орындау мүмкіндігін пайдаланады. Әдетте, мұндай вирустардың шағын (кейде полиморфты) макрожүктегіш бар, ол ендірілген макроредакторды шақырады, жаңа макрос жасайды, оны негізгі вирус кодымен толтырады, оны орындайды, содан кейін әдетте вирус іздерін жасыру үшін оны жояды.

  1. Мәселенің тұжырымы

Бұл курстық жобаның негізгі мақсаттары:

  1. құжат макростарындағы ең танымал вирустарға шолу;
  2. құжат макростарында вирустардың таралуы;
  3. құжат макростарындағы вирустардан қорғау әдістері;
  4. Макростарда вирустарды құру және оларды жүзеге асыру;
    1. Құжат макростарындағы ең танымал вирустарға шолу

Saver (ағылшын тілінен аударғанда «Сақтау» деп аударылған) — компоненттеріне Word 97 (8.0 нұсқасы) немесе Word 2003 (11.0 нұсқасы – Microsoft әзірлеуші ​​компаниясы енгізген нұсқасы) кіретін MS Office бағдарламалық құралы орнатылған машиналарда жұмыс істейтін макровирус. Word бағдарламасының барлық алдыңғы нұсқаларымен, оның астында вирустың жұмыс істеуіне себеп болған). Вирус өз атауын оның кодындағы «авторлық құқық» мәтіндік жолынан алды:
SaverVirus, сондай-ақ дискіде оны жұқтырған құжаттардың көшірмелерін жасау мүмкіндігі үшін. 2000 жылы 2 ақпанда Конотопта жазылған, оның мәтініндегі тағы бір «авторлық құқық» мәтіндік жолы дәлел:
Макро жазылған 02.02.00 KONOTOPE

Saver DOC пішімінде сақталған құжаттарды, сондай-ақ MS Office параметрлері бар файлдарды (DOT файлдары) жұқтырады. RTF форматында жазылған құжаттарды вирус жұқтыру мүмкін емес, себебі... соңғысының құрылымында олардың жұқтыру мүмкіндігін жоққа шығаратын макросекциялар немесе «макростар» (ағымдағы құжаттың дизайнына қатысты параметрлері бар бөлімдер - қаріп өлшемі мен түрі, жиектер өлшемі, объектінің орналасуы және т.б.) жоқ. . Вирус компьютерге вирус жұққан құжаттар немесе жоғарыда аталған кеңейтімдері бар параметрлер файлдары арқылы ғана енгізілуі мүмкін, егер оларды пайдаланушы ашса, содан кейін Word бағдарламасына енгізілген макрос қорғау туралы ескертуді елемеді:

Сурет 1 Макросты іске қосу туралы ескерту

«Макростарды өшірмеу» опциясы таңдалса, жұқтыру орын алады, қандай да бір себептермен бұл сұрау пайда болған кезде пайдаланушылардың көпшілігі осылай жасайды. Осыдан кейін Saver макростардағы Word 97 бағдарламасына енгізілген вирустан қорғауды - VirusProtection (Word 2003 астында вирус мұны істей алмайды, өйткені бұл қорғау принципі сәл басқаша) және осы редактордың параметрлер үлгі файлын зақымдайды:

Word97 көмегімен:
C:\ProgramFiles\MicrosoftOffice\Templates\Normal .dot

Word2003 көмегімен:
C:\Documents and Settings\%ағымдағы пайдаланушы аты%\Application Data\Microsoft\Templates\Normal. нүкте
Word 97 үшін оның номиналды өлшемін 26624 байттан 39424 байтқа немесе 27136 байттан 39936 байтқа өзгерту арқылы (түсіндірме: Normal.dot көрсетілген екі номиналды өлшемнің біреуіне ие болуы мүмкін, бұл кейбір жүйе шарттарына байланысты) Word 97 (Word 2003 үшін вирус жұққан шаблон файлы басқаша болуы мүмкін, себебі бұл нысанның бастапқы өлшемі Word бағдарламасында орнатылған бірқатар параметрлерге байланысты айтарлықтай өзгеруі мүмкін. Содан кейін вирус Normal.dot файлын өшіріп, оны өз бағдарламасының тамшылағышына айналдырады («тамшылы ” - триггер, активатор): оның мазмұнын басқару вирус кодына тасымалданатындай етіп өзгертеді. Вирус бұл кодты өзі жасайтын saver.dll файлында сақтайды:

Word97 көмегімен:
C:\ProgramFiles\MicrosoftOffice\Office\saver. dll

Word2003 көмегімен:
C:\ProgramFiles\MicrosoftOffice\OFFICE11\saver .dll

Бұл файлдың өлшемі 29696 байт және вирус өзгерткен Normal.dot үлгі файлы.

W97M.Class

Class.sys — C:\ түбірлік каталогында «орналастырылған» W97M.Class вирусына арналған көмекші файл. Вирустық бағдарламаның мәтіні құжаттың соңында (бағдарламаның бір бөлігі Normal.dot тілінде жазылған, өйткені бағдарламаның негізгі бөлігінде осы шаблондағы жолдар санын тексеру бар). Вирус Normal.dot файлын зақымдайды (бұл Word97 үлгісі, вирус оны 50 кБ-тан үлкен етеді), сонымен қатар барлық ашылған Word құжаттарын жұқтырады, т.б. *.doc кеңейтімі бар файлдарды жасайды және оларды өлшемі бойынша шамамен 2 есе үлкейтеді.
Вирус 14 мамырдан кейін белсенді бола бастайды және әр келесі айдың 14-інде сізді «қарсы алуды» жалғастырады. Құжаттардағы сызықтарды араластырады, келесі хабарды көрсетеді: «Менің ойымша, «USERNAME» - үлкен семіз жігіт!»

содан кейін ол жолдарды ауыстырады, құжатты сақтайды және оны жабады.

W97M.Ethan – бір ғана макрокомандадан тұратын макровирус. Ол Word97 қолданбасының құжаттары жабылған кезде және NORMAL.DOT жаһандық үлгісін жұқтырады.

W97M.Ethan вирусының таралуының қолайлы факторы Microsoft Word бағдарламасында кез келген құжатты ашу, жабу, сақтау және т.б. кезінде макростар автоматты түрде іске қосылады.

Сонымен қатар, NORMAL.DOT деп аталатын жалпы үлгі бар және жалпы үлгіде орналастырылған макростар кез келген құжат ашылған кезде автоматты түрде іске қосылады. Макростарды құжаттан құжатқа (атап айтқанда, жалпы үлгіге) көшіру тек бір пәрменмен орындалатынын ескерсек, Microsoft Word ортасы W97M.Ethan сияқты макровирустардың болуы үшін өте қолайлы болып көрінеді.

Жүйелік инфекция:

Жүйеге енгеннен кейін вирус өзінің жалғыз макрокомандасын VBA (Visual Basic for Applications) – «ThisDocument» тілінде жазылған модульдің басына орналастырады. «ThisDocument» — MS Word 97 үлгісіндегі модуль.

Құжатты немесе жалпы үлгіні жұқтырған кезде вирус өзінің вирустық кодының көзі болып табылатын «C:\Ethan.___» уақытша мәтіндік файлын пайдаланады. Вирус бұл файлға жүйелік және жасырын атрибуттарды тағайындайды.

4. Макровирустардың таралуы

Word іске қосылғанда, Normal.dot басқару файлын saver.dll «үлгі файлына» жібереді. Сынақ құрылғысында вируспен жүргізілген эксперименттер келесі нәтижелерді берді:

1. Вирус құжаттар жабылған кезде оларды жұқтырады: ол өзінің автосақтау макросын пайдаланып, олардың макросекциясына өз кодын жазады. Бұл жағдайда вирус құжатты оған енгізілген өзгертулермен сақтауды растау үшін стандартты сұрауды блоктайды, нәтижесінде вирустың да, пайдаланушының да құжатқа жасаған барлық өзгерістері соңғысының хабарынсыз автоматты түрде сақталады.

2. Егер құжатты пайдаланушы жай ғана ашса немесе «Сақтау» опциясы арқылы өңдеп, сақталса, вирус бұл құжатты жұқтырады; егер соңғысын пайдаланушы «Басқаша сақтау...» опциясы арқылы қайта сақтаған болса, онда вирус тек қайта сақталған құжатты жұқтырады және түпнұсқаны өзгеріссіз қалдырады. Сонымен қатар, екі жағдайда да инфекциядан кейін файл өлшемін ұлғайту бірқатар жағдайларға байланысты және нақты мағынасы жоқ.

3. Вирустың құжаттарды қарау кезінде де пайдаланушы ешбір өзгертулер жасамай-ақ қайта жұқтыратынын ескерсек, файлдардың көлемі үнемі өсіп отырады, сондықтан шағын қатты дискілері бар ескі машиналарда бос орын өте тез азаяды. . Сондай-ақ Word бағдарламасымен жұмыс істеу кезінде құрылғы қатты баяулауды сезінуі мүмкін, бұл вирус «ішіп кеткен» вирус жұққан құжаттардың макро-бөлімдерін өңдеуге арналған ЖЖҚ ресурстарының қосымша шығындарымен байланысты және сайып келгенде, соңғысының қатып қалуының нақты себебі болуы мүмкін. оларды ашу.

4. Таза машинада бірінші құжатты жұқтырғаннан кейін вирус өзінің ішкі каталогын жасайды:

Word97 көмегімен:
C:\ProgramFiles\MicrosoftOffice\Office\Doc_Copy\

Word2003 көмегімен:
C:\ProgramFiles\MicrosoftOffice\OFFICE11\Doc_Copy\

Онда жаңадан жұқтырған құжаттардың әрқайсысы көшіріледі. Кейіннен, егер вирус жұқтырған ағымдағы ашық құжаттың атауы (бірнеше рет немесе бірінші рет – маңызды емес) «Doc_Copy» каталогында бұрыннан бар құжат көшірмесінің атауына сәйкес келсе, онда вирус оның ішкі есептегіштері көшірме файлынан ағымдағы құжат мазмұнының бастапқы мазмұнын қайта жаза алады, бұл ағымдағы құжаттың мазмұнын қайтарымсыз жоғалтуға әкеледі.
Сондай-ақ, егер құрылғыда бірнеше пайдаланушы жұмыс істесе, құпия деректердің ағып кету мүмкіндігі бар: мысалы, олардың біреуі басқа пайдаланушылар білмеуі керек құпия қаржылық немесе басқа ақпаратты қамтитын құжаты бар дискетадан жұмыс істейді. Дегенмен, вирус осы файлдың көшірмесін "Doc_Copy" қалтасында жасағаннан кейін, құжаттың мазмұны осы компьютердің басқа пайдаланушылары үшін қолжетімді болуы мүмкін.

5. Word жабылғаннан кейін вирустық бағдарлама автоматты түрде өшіріледі - вирустың макросы AutoClose іске қосылады.

4.1 Microsoft Office үшін макровирустардың алгоритмі

Көптеген белгілі Word вирустары (6, 7 және Word 97 нұсқалары) іске қосылған кезде өздерінің кодын жаһандық құжат макрос аймағына («жалпы» макростар) тасымалдайды.

Word бағдарламасынан шыққан кезде ғаламдық макростар (соның ішінде вирус макростары) ғаламдық макростар DOT файлына (әдетте NORMAL.DOT) автоматты түрде жазылады. Осылайша, вирус Word бағдарламасы ғаламдық макростарды жүктеген кезде іске қосылады.

Содан кейін вирус бір немесе бірнеше стандартты макростарды (мысалы, FileOpen, FileSave, FileSaveAs, FilePrint) қайта анықтайды (немесе бұрыннан бар) және осылайша файлдармен жұмыс істеу пәрмендерін тоқтатады. Бұл пәрмендер шақырылған кезде қатынасатын файл вирус жұқтырылған. Ол үшін вирус файлды Үлгі пішіміне түрлендіреді (бұл файл пішімін одан әрі өзгерту мүмкін емес, яғни кез келген Үлгі емес пішімге түрлендіру) және оның макростарын файлға, соның ішінде Авто макросқа жазады.

Вирусты жүйеге енгізудің тағы бір жолы «Қосымша» деп аталатын файлдарға, яғни Word бағдарламасына қызметтік толықтырулар болып табылатын файлдарға негізделген. Бұл жағдайда NORMAL.DOT өзгертілмейді және Word іске қосылған кезде «Қосымша» ретінде анықталған файлдан (немесе файлдардан) вирус макростарын жүктейді. Бұл әдіс ғаламдық макростардың жұқтыруын толығымен дерлік қайталайды, тек вирус макростары NORMAL.DOT файлында емес, кейбір басқа файлда сақталатынын қоспағанда.

Сондай-ақ, БАСТАУ каталогында орналасқан файлдарға вирус енгізуге болады. Бұл жағдайда Word автоматты түрде осы каталогтан үлгі файлдарын жүктейді, бірақ мұндай вирустар әлі кездескен жоқ.
Word құжаттарын жұқтыруға арналған вирусты қарастырайық. Бұл вирус FileOpen қызмет атауын пайдаланады. FileOpen() процедурасы пайдаланушы файлды ашқанда және өзін кәдімгі File->Open File диалогтық терезесі ретінде жасырған сайын орындалады.

InfectorPath = MacroContainer.Path + "\" + MacroContainer.Name

Rem InfectorPath айнымалысы вирусы бар құжатқа жолды көрсетеді.

Диалогтар(wdDialogFileOpen).Show

Rem Файл->Файлды ашу тілқатысу терезесін имитациялайды

Жұқтырған = Жалған

ActiveDocument.VBProject ішіндегі әрбір VbComponent үшін. VBComponents

Егер VbComponent.Name = «Вирус» болса, жұқтырған = True

Rem Мұнда пайдаланушы ашқан файл вирусқа тексеріледі

Егер жұқтырмаса, онда

Rem Егер файлға вирус жұқпаса, вирус файлға қосылады

CopyMacro ActiveDocument.Path + "\" + ActiveDocument.Name, InfectorPath

Жалпы қосалқы көшірме макросы(NewDestination, NewSource)

Келесі жолға өту қатесі туралы

Application.OrganizerКөшіру көзі:= _

NewSource, Destination:=NewDestination, Name:="Вирус", Объект:= _

WdOrganizerObjectProjectItems

Rem модульді вируспен көшіріңіз

ActiveDocument.Сақтау

Rem құжатты сақтаңыз


5. Құжат макростарындағы вирустардан қорғау әдістері

Макровирустарды әдетте мектеп оқушылары өзін-өзі растау мақсатында жазады. Мұндай вирустар ешқандай қателік жасамайды - олар тек сіздің компьютеріңізде көбейеді. Дегенмен, макровирустардан қорғау құралдарын елемеуге болмайды, өйткені WordBasic бағдарламасы арқылы Word құжаттарын бұзатын немесе тіпті қатты дискіні пішімдейтін вирус жазуға болады. Макровирустардың ерекшелігі қарапайым антивирустар оларды танымайды. Макровирустардан қорғау үшін MacCafee ұсынған ViruScan қолданбасын ұсынамыз. (http://www.macafee.com). Сонымен қатар, инфекцияның алдын алудың бірнеше қарапайым әдістері бар. Word 6.0 нұсқасында барлық макростар үлгі файлдарында (*.dot) сақталады және үлгі ашық болғанда ғана қолжетімді болады. Word бағдарламасы Normal.dot жаһандық үлгісін ашқан кезде автоматты түрде жүктейтіндіктен, барлық вирустар өздерін сол жерге жазады. Сондықтан, Word 6.0 бағдарламасында жұмыс істеп жатсаңыз, Normal.dot файлын тек оқуға арналған етіп орнатыңыз. Басқа опция - автоматты макростардың орындалуын болдырмау үшін күдікті құжаттарды ашқанда shift пернесін басып тұру. Әрине, макростар тізімінде автоматты түрде басталатын атауларды тапсаңыз, оларды Word97 бағдарламасында макростар тек үлгілерде ғана емес, сонымен қатар қарапайым құжаттарда да болуы мүмкін. Жоғарыда айтылғандай, белгілі бір оқиға орын алған кезде макросты автоматты түрде іске қосу үшін макроста келесі атаулардың біреуі болуы керек:

  • AutoExec - Word іске қосылғанда немесе жаһандық үлгі жүктелгенде іске қосылады
  • AutoNew - жаңа құжат жасалғанда іске қосылады
  • AutoOpen - құжат ашылған кезде іске қосылады
  • AutoClose - құжат жабылған кезде іске қосылады
  • AutoExit - Word бағдарламасынан шыққанда немесе ғаламдық үлгіні жапқанда іске қосылады.

Әрине, Word бағдарламасын жүктегенде, сондай-ақ құжаттарды ашу, құру және жабу кезінде Shift пернесін басу арқылы мұндай макростардың орындалуынан бас тартуға болады, бірақ бұл әдіс жалықтыратын сияқты. Автомакростардың орындалуын болдырмайтын макрос жазайық:

MsgBox "Біз вирустардың көбеюіне жол бермейміз!"


WordBasic.DisableAutoMacros


Құжаттарды макровирустармен жұқтырудың алдын алу үшін олардың қалай жұмыс істейтінін жақсы түсіну керек. Microsoft Office жасаушылар Word пәрмендерін пайдаланушының макрос командаларымен ауыстыру мүмкіндігін енгізу арқылы шабуылдаушыларды жеңілдетті. Бұл сіздің құжатыңызда, айталық, FileOpen деп аталатын макрос болса, ол басқа құжат ашылған сайын орындалатынын білдіреді.

Word 97 пайдаланушылары әсіресе Word бағдарламасының жақсы ескі нұсқаларында макростар тек үлгілерде (*.dot файлдары) сақталуы мүмкін. Office"97 макростарды тікелей құжатта сақтауға мүмкіндік береді, сондықтан вирустардың таралуы үшін көбірек мүмкіндіктер бар.

Макро тұқымдасының вирустары

Макро тобының вирустары деректерді өңдеу жүйелеріне (мәтіндік редакторлар, электрондық кестелер және т.б.) енгізілген макротілдердің мүмкіндіктерін пайдаланады.

Белгілі бір жүйеде вирустар болуы үшін оған макро тілдегі бағдарламаны белгілі бір файлға байланыстыру, макробағдарламаларды бір файлдан екіншісіне көшіру және басқаруды алу мүмкіндігі бар макротілі болуы керек. пайдаланушының араласуынсыз макрос бағдарламасы (автоматты немесе стандартты макростар).

Бұл шарттарды Microsoft Word және AmiPro редакторлары, сонымен қатар Excel электрондық кестесі орындайды. Бұл жүйелерде макро тілдері бар (Word - Word Basic, Excel - Visual Basic), ал макро бағдарламалар белгілі бір файлға (AmiPro) байланыстырылған немесе файлдың ішінде орналасқан (Word, Excel), макрос тілі файлдарды көшіруге мүмкіндік береді. (AmiPro) немесе макробағдарламаларды жүйелік файлдарға (Word, Excel) қызмет көрсетуге көшіру, белгілі бір шарттарда файлмен жұмыс істегенде (ашу, жабу және т.б.) арнайы жолмен анықталған макропрограммалар (бар болса) шақырылады. (AmiPro) немесе стандартты атаулары бар (Word, Excel).

Сонымен, бүгінде вирустар бар үш белгілі жүйе бар - Microsoft Word, Excel және AmiPro. Оларда вирустар зақымдалған файл ашылған немесе жабылған кезде бақылауды алады, стандартты файл функцияларын тоқтатады, содан кейін қандай да бір жолмен кіруге болатын файлдарды жұқтырады. MS-DOS ұқсастығы бойынша макровирустар резидентті деп айта аламыз - олар файлды ашу/жабу сәтінде ғана емес, сонымен қатар редактордың (жүйенің) өзі белсенді болған кезде де белсенді.

Microsoft Office үшін вирустар»97

Macro.Office97.Frenzy

Автоматты ашу функциясы бар жалғыз Frenzy макростарынан тұрады. Вирус жұққан файл ашылғанда жүйені жұқтырады. Содан кейін олар ашылған кезде құжаттарға жазылады. Жүйе күніне және жүйенің кездейсоқ есептегішіне байланысты мәтінді көрсетеді

Word97.Frenzy by Pyro

Macro.Office97.Minimal

Office 97 жүйесіне арналған өте қарапайым макровирус. Оның құрамында бір Автоматты ашу макросы бар. Ол жұқтырған файлды ашқанда жүйені жұқтырады, олар ашылған кезде де құжаттарға жазылады. Түсініктеме берілген мәтінді қамтиды

Веселин Бончев

Macro.Office97.NightShade

Ол AutoClose автофункциясы бар жалғыз NightShade макросынан тұрады және файлдар жабылған кезде жүйе мен құжаттарды жұқтырады. Кірістірілген вирустан қорғауды өшіреді және автоматты функцияларды іске қосуға мүмкіндік береді. Ағымдағы күнге және жүйенің кездейсоқ есептегішіне байланысты мәтінді көрсетеді

Word97.NightShade by Pyro

13-ші сенбіде құжаттарда NightShade құпия сөзін орнатады.

Microsoft Excel бағдарламасына арналған вирустар

Macro.Excel.Laroux

Excel электрондық кестелерін (XLS файлдары) жұқтырады. Құрамында екі макрос бар: Auto_Open және Check_Files. Вирус жұққан файлды ашқанда, Excel автоматты түрде Auto_Open макросын іске қосады. Вируста бұл макрос тек бір пәрменді қамтиды, ол Тексеру_файлдары макросын кез келген кесте (парақ) белсендірілген кезде орындалатын етіп анықтайды. Осылайша, вирус кестелерді ашу процедурасын тоқтатады және кесте белсендірілген кезде вирус жұққан Excel бағдарламасы Check_Files макросын, яғни вирус кодын шақырады.

Басқаруға қол жеткізгеннен кейін Check_Files макросы Excel іске қосу каталогында PERSONAL.XLS файлын іздейді және ағымдағы жұмыс кітабындағы модульдер санын тексереді. Вирусы бар жұмыс кітабы белсенді болса және PERSONAL.XLS файлы жоқ болса (бірінші жұқтыру), онда вирус SaveAs пәрменін пайдаланып Excel іске қосу каталогында осы атпен файлды жасайды. Нәтижесінде оған ағымдағы файлдағы вирус коды жазылады. Excel келесі жолы жүктегенде, ол барлық XLS файлдарын іске қосу каталогынан жүктейді, вирус жұққан PERSONAL.XLS файлы да жадқа жүктеледі, вирус қайтадан бақылауға ие болады және кестелерді ашқан кезде PERSONAL.XLS ішінен Check_Files макросы қайта шақырылады. .

Ағымдағы жұмыс кітабындағы модульдер саны 0 болса (вирус жұққан жұмыс кітабы белсенді емес) және PERSONAL.XLS файлы бұрыннан бар болса, вирус өзінің кодын белсенді жұмыс кітабына қайта жазады. Осыдан кейін белсенді жұмыс кітабы вирусқа ұшырайды.

Жүйені вирусқа тексеру қиын емес. Егер вирус компьютерге әлдеқашан еніп кеткен болса, Excel каталогында laroux жолы (кіші әріптермен) көрінетін PERSONAL.XLS файлы болуы керек. Дәл осындай жол басқа вирус жұққан файлдарда да бар.

Macro.Excel.Legend

Excel файлдарын зақымдайтын макровирус. Құрамында Legend деп аталатын бір модуль (макрос). Бұл модуль екі процедураны қамтиды - Auto_Open және INFECT. Auto_Open — файл ашылғанда автоматты түрде шақырылатын Excel процедурасы. Іске қосылған кезде Auto_Open екінші вирус процедурасын (Infect) SheetActivate оқиға өңдеушісі ретінде орнатады, яғни кез келген кестені ашқан кезде Excel бағдарламасы Infect процедурасын шақырады.

Шақырылған кезде Infect процедурасы PERSONAL.XLS файлын (вирус жұққан файл ашық болғанда) немесе ағымдағы файлды (егер ол әлі вирус жұқтырмаған болса) жұқтырады. Инфекциядан кейін вирус мәзірден Құралдар/Макрос элементін жояды. Егер UserName = "Pyro" және OrganizationName = "VBB" болса, вирус дереу жұмысын тоқтатады және ешбір файлды жұқтырмайды. Ағымдағы күнге және жүйенің кездейсоқ есептегішіне байланысты вирус MessageBox көрсетеді:

Сізге аңыз жұқтырған!

Macro.Excel.Robocop

Excel файлдарына шабуыл жасайтын макровирус. Екі модульді (макростарды) қамтиды: COP және ROBO. ROBO модулінде вирус жұққан құжатты ашқан кезде PERSONAL.XLS файлына вирус кодын жазатын және вирус кодына кестені белсендіру өңдеушісінің (SheetActivate) мекенжайын орнататын автоматты түрде Auto_Open процедурасы бар. Содан кейін вирус кестелер ашылған кезде файлдарды зақымдайды.

ROBOCOP қорқынышты джокер

Macro.Excel.Диван

Excel электрондық кестелерін жұқтырады. Құрамында бір модуль (макрос) бар, оның аты 11 бос орыннан тұрады, сондықтан Құралдар/Макростар мәзіріндегі макростар тізімінде көрінбейді. Модульде төрт макрофункция бар: Auto_Open, Auto_Range, Current_Open, Auto_Close. Барлық вирус функциялары нәтиже ретінде Null мәнін қайтарады.

Вирус жұққан файлды ашқанда, Excel бағдарламасының «атын өзгертетін» Auto_Open макрос функциясы іске қосылады - Microsoft Excel орнына тақырып жолында Microsofa Excel пайда болады. Іске қосу жолы каталогында BOOK.XLT файлы болмаса (жүйе әлі вирус жұқтырмаған), экранда келесі хабарлама көрсетіледі:

Microsoft Excel бағдарламасы бүлінген қондырма файлын анықтады. Бұл файлды жөндеу үшін OK түймесін басыңыз.

Пайдаланушының жауабына қарамастан, іске қосу жолы каталогында вирус коды бар BOOK.XLT файлы жасалады. Инфекциядан кейін хабарлама көрсетіледі

Файл сәтті жөнделді!

Жүктелген кезде Excel бағдарламасы XLT файлдарын іске қосу жолынан автоматты түрде жүктеп алады және тиісінше вирусты белсендіреді. Вирус өзінің Auto_Range функциясын OnSheetActivate функциясына тағайындайды және кесте белсендірілген сайын белсенді файлды жұқтыруға тексереді, ал егер файл жұқтырылмаса, оны жұқтырады.

Вирус өзін Excel бағдарламасынан босатуға мүмкіндік бермейді - әрбір файлды жабу кезінде ол OnWindow функциясына бірдей Auto_Range функциясын тағайындайды, яғни жаңа файл ашылғанда қайта белсендіріледі.

Macro.Excel.Yohimbe

Exec деп аталатын бір модульден (макрос) тұрады. Бұл модуль үш ретті қамтиды: Auto_Open, DipDing, PayLoad және SheetExists функциясы. Вирус жұққан файл ашылған кезде Auto_Open ішкі бағдарламасы автоматты түрде шақырылады - вирус PERSONAL.XLS файлын жұқтырады. Кез келген қателік болған жағдайда вирус барлық ашық файлдарға (кітаптарға) жазылады. Басқаруды қайтару алдында Auto_Open бағдарламасы DipDing тәртібін Excel таймеріне орнатады. Бұл режим 16:00-ден басталады және ашық файлдарды жұқтырады.

Вирус кесте тақырыбына Yohimbe жолын жазады. Ол сондай-ақ PayLoad ішкі бағдарламасына таймерді орнатады - ол 16:45-те шақырылады және ағымдағы кестеге сурет пен мәтінді кірістіреді